Investigation & transformation numériques

Jeux en ligne – Dirigeants de BetOnSports bientôt fixés sur leur sort

I Bari, Le Caravage (c. 1594)

I Bari, Le Caravage (c. 1594)

La société BetOnSports (littéralement « parier sur les sports »), fondée en 1995, avait localisé ses activités dans certains paradis fiscaux bien connus (Antigua, Aruba et Costa Rica), mais réalisait une grosse partie de son chiffre d’affaires sur le marché des Etats-Unis.

Cela lui a valu l’intérêt en 2006 de l’administration fiscale et des autorités judiciaires pour différentes infractions présumées, dont l’évasion fiscale, le racket et des escroqueries… Onze de ses dirigeants sont ainsi poursuivis dont le fondateur Gary Kaplan et David Carruthers, directeur général de la société. Ils sont tous les deux détenus par la justice américaine.

Comme souvent dans ce genre de dossiers aux U.S.A, les personnes mises en cause ont été amenées à accepter une reconnaissance de culpabilité et ne devraient donc pas faire l’objet d’un procès. C’est ce qu’annonçait vendredi dernier le ministère de la justice américain. Kaplan devrait ainsi être condamné à une peine de 4 ans d’emprisonnement et a accepté de verser près de 44 millions de dollars.

Leur société, BetOnSports, employant près de 2000 personnes au Costa Rica est en cessation de paiement, a été interdite d’activité à destination du public américain et pourrait essayer de se redresser sur d’autres marchés.

Où en est la situation en France ?

La France, comme les autres pays de l’Union Européenne, est contrainte d’ouvrir son marché à des sociétés de jeux et de paris en ligne et l’échéance du 1er janvier 2010 s’approche. Ainsi, un projet de loi a été présenté par le ministre du budget début 2009. Ce projet reposera sur un principe de licence délivré par l’État français (pour une durée de cinq ans), une taxation des mises et la création d’une autorité de contrôle.

Il s’agit ici tout autant de protéger le consommateur français (qui est déjà client de ces services en ligne, souvent en toute illégalité et parfois avec le risque de se faire escroquer) que de préserver l’équilibre d’un monopole préexistant qui assure des revenus non négligeables pour le budget de l’État. L’exemple de BetOnSports cité en début de cet article illustre particulièrement l’intérêt d’un encadrement efficace lors de l’ouverture du marché français et évidemment d’un accent fort à porter sur la coopération européenne et mondiale contre les activités les moins recommandables qui côtoient souvent les entreprises les plus sérieuses dans ce domaine d’activité.

La discussion de ce projet de loi est annoncée pour le début de l’automne à l’assemblée nationale. Je ne manquerai pas de suivre ces débats avec mes lecteurs et notamment leur impact sur la sécurité en ligne des internautes et l’activité criminelle.

17 août 2009 by Actualité judiciaire Cybercriminalité Juridique Prospective 1

Attaque DDoS Twitter (suite)

En complément à mon billet d’hier sur l’attaque contre Twitter de la semaine passée, Arbor Networks en ferait une analyse intéressante tendant à indiquer qu’il ne s’agit effectivement que d’un événement de faible amplitude et qu’au même moment des attaques beaucoup plus importantes avaient lieu (contre un opérateur asiatique par exemple).

(Plus d’informations ici)

Cela confirmerait les inquiétudes sur la résistance de telles plateformes à des attaques de grande ampleur.

14 août 2009 by Cybercriminalité Sécurité 0

C’est la rentrée – attaques DDoS sur Twitter ?

Image du blog de Cyxymu

Image du blog de Cyxymu

Les vacances sont finies pour moi ou presque, l’actualité n’a pas été particulièrement active. J’ai continué d’alimenter la liste de signets que vous voyez dans la colonne de gauche du présent blog (sous le titre : « Mes derniers bookmarks »).

Un « événement » a fait la une de l’actualité, y compris dans les principaux journaux français (Le Monde par exemple et plus ici), à savoir l’attaque dont Twitter et Facebook ont été victimes. Je suis presque contraint de l’évoquer, tout en soulignant que des attaques en déni de service sont quotidiennes sur Internet, mais ce n’est pas réellement là le sujet.

Une attaque en déni de service distribué (plus d’explications sur Wikipédia), tout d’abord, consiste à empêcher l’accès des usagers légitimes d’un service sur Internet (donc par exemple un site Web tel que Twitter ou Facebook, ou votre blog personnel) en initiant des connexions multiples depuis plusieurs endroits sur Internet (d’où la notion de distribution).

Ce type d’attaque a été rendu célèbre par les événements survenus en Géorgie l’année dernière, où des attaques coordonnées contre les sites Web gouvernementaux ont accompagné les tensions militaires avec la Russie du mois d’août 2008. C’est donc assez logiquement qu’une explication politique a été trouvée à cette attaque contre Twitter et Facebook. En effet, l’hypothèse d’un attaque ciblant Cyxymu, un abonné Géorgien de Twitter et Facebook et s’exprimant pour l’indépendance la défense d’intérêts liés à la situation de l’Abkhazie s’est très rapidement propagée.

Évidemment, l’utilisation croissante de ces sites par des personnalités du monde politique n’est pas pour rien dans cette médiatisation de l’incident. Et la politique est souvent évoquée dans le cas d’attaques rendues publiques au cours des trois dernières années. La torpeur de l’été y est sans doute aussi pour quelque chose et cela montre aussi l’intérêt des médias pour ces nouvelles formes de communication et de diffusion de l’information.

La réalité des attaques en déni de service est qu’elles sont quotidiennes sur Internet. Les botnets, par exemple, que j’ai évoqués à plusieurs reprises ici, permettent ce genre d’attaques. Ces types de services sont même commercialisés par des groupes criminels pour quelques dizaines ou centaines de dollars, vantant la possibilité d’empêcher le fonctionnement du site Web de son concurrent. Certains (comme Max Kelly, directeur de la sécurité chez Facebook, répondant ici à CNet News), ont émis l’hypothèse que cette attaque particulière aurait été rendue possible grâce à la diffusion de spams supposément émis par Cyxymu et conduisant des milliers d’usagers à se connecter en même temps sur son « tweet » (blog de Cyxymu).

L’explication est-elle convaincante ? L’information sur la coïncidence entre le spam visant Cyxymu et les incidences sur Twitter et Facebook est perturbante, parce qu’elle vise encore la Russie ou plutôt des citoyens Russes, mais sa source est intéressante : Max Kelly a certainement accès aux journaux des serveurs Web de sa société (Facebook) et donc à l’origine des clics qui ont conduit à cet incident, où en tous cas d’une partie d’entre eux.

Cette affaire mérite-t-elle un tel intérêt ? Oui, au sens où la défaillance pendant plusieurs heures d’un site Web aussi utilisé (et utile selon les points de vue) que Twitter en tant que telle est un événement. Les protections contre les attaques en déni de service ne sont pas facile à mettre en œuvre et supposent souvent d’installer des infrastructures supplémentaires en amont des serveurs Web pour filtrer les requêtes problématiques. Il semblerait que dans ce cas il s’agissait – au moins partiellement – de connexions légitimes provenant d’internautes réels utilisant leur propre navigateur : il paraît difficile d’imaginer de filtrer de telles connexions (il faudrait filtrer au niveau applicatif, à savoir sur la base du contenu de la requête lui-même – l’adresse de la page demandée – qui est quasiment le même pour tous les clics).

En tous cas, il sera essentiel que des dispositifs plus efficaces soient inventés pour lutter contre les attaques en déni de service, notamment dans le cas de serveurs utilisés par autant d’internautes dans le monde. Le « cloud computing », c’est-à-dire le développement de technologies qui permettent de stocker toutes ses données dans des serveurs accessibles et exploitables de partout sur Internet n’est pas viable à long terme dans de telles conditions (on voit combien les incidents dont souffrent parfois les plateformes de Google fait douter ses usagers).

PS: Information incidente révélée aujourd’hui par Jose Nazario de chez Arbor Networks (origine ici). Celui-ci a découvert pendant des investigations sur cette affaire d’attaque en déni de service contre Twitter, que des comptes Twitter sont utilisés par des criminels Brésiliens comme outil pour diffuser les commandes à destination d’un botnet, dont la fonction est vraisemblablement la collecte illégale de données personnelles.

13 août 2009 by Cybercriminalité Sécurité 1

Rapport 2008 de l’observatoire de la sécurité des cartes de paiement

oscpmenuLe 9 juillet dernier, M. Christian Noyer, gouverneur de la Banque de France et président en exercice de l’observatoire de sécurité des cartes de paiement (OSCP), présentait le rapport 2008 publié par cet organisme.

Conclusions du rapport 2008

Le rapport rendu public le 9 juillet dernier reprend la structure classique de ces documents, dont le premier a été publié en 2004 :

  • le chapitre 1 qui s’attarde sur le sujet des cartes émises immédiatement en magasin ou en agence ;
  • le chapitre 2 portant sur les statistiques de fraude ;
  • le chapitre 3 portant sur la veille technologique ;
  • le chapitre 4, enfin, qui revient sur les évolutions en matière de certification de la sécurité des cartes et des terminaux de paiement.

Le point saillant cette année est très certainement une reprise légère de la hausse des taux de fraude sur les paiements par carte bancaire, avec un accent tout particulier sur la fraude réalisée sur Internet, concomitante à une forte augmentation de ce secteur d’affaires.

C’est justement sur le secteur de la vente à distance que s’est penché le groupe de travail chargé de la veille technologique. On y constate qu’outre la nécessité d’augmenter les moyens de sécurisation de ces paiements il faut être attentif à leur acceptabilité par l’usager, au risque de voir ceux-ci se détourner vers des sites moins sécurisés, mais plus faciles d’accès. Un certain nombre d’internautes se diraient en effet rebutés par le dispositif « 3DSecure ». C’est bien là le défi qui est posé : inventer des solutions de sécurisation des paiement plus faciles d’usage.

On retrouve dans le même troisième chapitre une étude sur l’impact du co-marquage en matière de sécurité des paiements, ainsi que des travaux sur la sécurité des réseaux d’automates de paiement.

L’observatoire de la sécurité des cartes de paiement

L’OSCP a été créé par la loi n°2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne (article 39), modifiant l’article L.141-4 du code monétaire et financier. Les missions de l’observatoire sont:
  • le suivi de la mise en œuvre des mesures adoptées par les émetteurs et les commerçants pour renforcer la sécurité des cartes de paiement ;
  • l’établissement de statistiques en matière de fraude ;
  • d’assurer une veille technologique.
La liste des membres de l’observatoire à ce jour est consultable sur le même site.
Ses membres se réunissent trois fois par an pour établir le programme de travail et discuter du rapport de l’année à venir. Ce sont ensuite différents groupes de travail qui sont constitués pour couvrir les différents aspects et en particulier un groupe de travail sur les statistiques (piloté actuellement par Christian Aghroum, chef de l’OCLCTIC) et un groupe de travail chargé de la veille technologique (piloté par Mireille Campana).
La Banque de France assure le secrétariat de l’observatoire.
13 juillet 2009 by Cybercriminalité Prospective Sécurité 0

Agence nationale de la sécurité des systèmes d’information

logo_anssiComme je vous l’annonçais voici quelques mois, l’agence nationale de la sécurité des systèmes d’information a été portée sur le fonds baptismaux ce matin par la publication du décret n°2009-834 du 7 juillet 2009 au journal officiel. Cette création fait suite aux propositions du livre blanc sur la défense et la sécurité nationale du 17 juin 2008 (voir les pages 53 et 182 notamment).

Cette nouvelle agence succède à la DCSSI, direction centrale de la sécurité des systèmes d’information, et reste placée sous l’autorité du secrétaire général pour la défense nationale. Toutefois, la création de cette agence présente très clairement la volonté d’en augmenter la portée et les missions, qui sont beaucoup plus détaillées que dans le décret qui créait précédemment la DCSSI. Ainsi, dans les mois qui viennent, on peut compter sur une augmentation sensible et nécessaire de ses effectifs.

Ses missions redéfinies sont:

  • d’assister le SGDN dans ses attributions dans le domaine de la SSI ;
  • d’être l’autorité nationale en matière de SSI (moyens sécurisés de communication pour la Présidence de la République et le gouvernement, inspection des systèmes de l’État, délivrance d’agréments, formation, etc.) ;
  • de se prononcer sur la sécurité de certains produits et services (signature électronique, agrément des centres d’évaluation, délivrance des autorisations en matière de cryptologie, instruction des demandes d’autorisation présentées en application de l’article 226-3 du code pénal) ;
  • d’apporter son concours aux services de l’État en matière de SSI ;
  • de soutenir et orienter la recherche et l’innovation dans ces domaines.

Un comité stratégique de la sécurité des systèmes d’information est créé pour proposer les orientations stratégiques de l’État en matière de SSI.

Le site web de l’ANSSI est accessible ici : http://www.anssi.gouv.fr/

8 juillet 2009 by Juridique Sécurité 0

Live forensics – mais qu’est-ce que c’est ?

Voilà une semaine, je racontais brièvement que nous avions passé quelques jours à former des enquêteurs de toute l’Europe aux techniques des « Live forensics » ou « Analyses sur systèmes vivants » ou « allumés ».

Il s’agit de deux évolutions parallèles :

  • Les enquêteurs (du monde entier) qui fonctionnent selon le paradigme qui leur a été inculqué de la nécessité d’éteindre brutalement un ordinateur en fonctionnement au moment de la perquisition pour limiter les modifications au système (surtout aux données se trouvant sur le disque dur), et qui se rendent compte que l’on perd ainsi des données potentiellement importantes dans la mémoire vive (2 gigaoctets au moins dans les systèmes modernes) ou se couper l’accès à des données protégées quand l’ordinateur est éteint,
  • Le développement de nouvelles techniques autour de l’exploitation criminalistique de la mémoire vive des ordinateurs.

C’est aussi une problématique plus générale, car très souvent il n’est pas intéressant, nécessaire ou souhaitable d’éteindre le système que l’on souhaite analyser : le serveur d’une entreprise ou un téléphone portable en marche (protégé par un code), etc.

Quelles sont les techniques à mettre en œuvre ? Elles sont de deux catégories principales :

  • La capture de la mémoire vive,
  • La capture de données issues des processus en fonctionnement, notamment ceux liés au système d’exploitation ou aux logiciels les plus pertinents au regard de l’enquête ou de la configuration (outils de chiffrement).

Corollairement il faut évidemment des techniques nouvelles pour exploiter ces données, notamment en ce qui concerne l’exploitation des captures de mémoire vive.

Enfin, comme toute action criminalistique, il s’agit de correctement documenter ses actes et de faire des choix judicieux au regard de l’impact des outils utilisés sur le système examiné, qui devront être minimaux – trouver l’équilibre entre la nécessité de collecter l’ensemble des éléments de preuve accessibles et l’impact sur chacune des sources de preuve.

En vrac, quelques idées et sources sur les outils et méthodes utilisées dans l’univers Windows :

Mais attention, c’est outils sont à utiliser avec précaution ! Et une formation et la lecture d’ouvrages (comme Windows Forensic Analaysis, deuxième édition, de Harlan Carvey) seront utiles.

28 juin 2009 by Criminalistique numérique 0

Stage européen sur les « live forensics »

UNODC

UNODC

Cette semaine s’est passée pour moi à Vienne, dans les locaux de l’UNODC où j’ai eu le plaisir d’animer un stage, organisé avec le soutien financier de la commission européenne (programme ISEC 2008),  sur le sujet des « live forensics ». Il s’agit de l’ensemble des techniques qui sont utilisées pour collecter des preuves sur des systèmes informatiques « vivants », c’est-à-dire allumés au moment où les personnes chargées de collecter des preuves interviennent.

Il s’agit d’une évolution qui s’est imposée progressivement, avec l’avènement d’ordinateurs aux capacités de mémoire vive toujours plus importantes et afin de lutter plus efficacement contre les techniques de chiffrement. Cette semaine nous a donc permis de tester cette formation sur un public d’une vingtaine d’enquêteurs spécialisés de toute l’Europe. Après quelques améliorations, le contenu de formation sera mis à disposition de l’ensemble des services de police.

20 juin 2009 by Criminalistique numérique 2

Promulgation de la loi création et Internet

Ministère de la culture

Ministère de la culture

La loi n° 2009-669 du 12 juin 2009 favorisant la diffusion et la protection de la création sur internet a été publiée ce matin au journal officiel. Son texte, résultant des débats au Parlement et de la censure récente du Conseil constitutionnel est consultable sur le site Légifrance.

Résumé des dispositions

L’objet principal de cette loi est la création de la Haute autorité pour la diffusion des œuvres et la protection des droits sur Internet (HADOPI), qui reprend les missions de l’Autorité de régulation des mesures techniques. Il s’agira d’une autorité administrative indépendante, disposant de la personnalité morale.

Son bras armé, la commission de protection des droits, sera saisie des signalements présentés par les agents assermentés désignés par :

  • les organismes de défense professionnelle régulièrement constitués,
  • les sociétés de perception et de répartition des droits,
  • le Centre national de la cinématographie.

Elle peut également agir sur la base d’informations transmises par les procureurs de la République et ne peut être saisie de faits remontant à plus de six mois. On notera au passage qu’elle ne pourra donc pas agir sur ses propres constatations, il revient donc bien aux ayants-droit d’exercer les opérations de détection des contrevenants.

Ces signalements porteront sur les manquements à l’obligation du nouvel article L336-3 du code de la propriété intellectuelle :

La personne titulaire de l’accès à des services de communication au public en ligne a l’obligation de veiller à ce que cet accès ne fasse pas l’objet d’une utilisation à des fins de reproduction, de représentation, de mise à disposition ou de communication au public d’œuvres ou d’objets protégés par un droit d’auteur ou par un droit voisin sans l’autorisation des titulaires des droits prévus aux livres Ier et II lorsqu’elle est requise.
Le manquement de la personne titulaire de l’accès à l’obligation définie au premier alinéa n’a pas pour effet d’engager la responsabilité pénale de l’intéressé.

Il s’agit donc de repérer les connexions Internet qui servent à diffuser des contrefaçons d’œuvre de l’esprit.

Suite à ce signalement, les agents de la commission de protection des droits pourront demander aux fournisseurs d’accès à Internet les informations permettant d’identifier les titulaires des abonnements et leur adresser ensuite des messages de sensibilisation.  La commission de protection des droits est autorisée à constituer un traitement de données personnelles (dont les détails doivent être définis par un décret en Conseil d’État pris après avis de la Commission nationale informatique et libertés) pour permettre un suivi de ces activités.

Suite à la décision du Conseil constitutionnel du 10 juin 2009, ce manquement n’est susceptible d’aucune sanction pénale ou administrative. Le gouvernement a annoncé des travaux à venir sur une loi permettant à des magistrats de l’ordre judiciaire de prononcer les sanctions envisagées, dont il semblerait qu’il pourrait s’agir de la suspension de l’accès à Internet.

Que risque-t-on en matière de contrefaçon d’œuvres de l’esprit ?

Il est important de rappeler que la contrefaçon est toujours une infraction pénale punie dans le code de la propriété intellectuelle de trois ans d’emprisonnement et de 300000 € d’amende (peine éventuellement aggravée en cas de bande organisée, jusqu’à cinq ans d’emprisonnement et 500000 € d’amende).

C’est cette peine que risquent les organisateurs du réseau Snowtigers qui ont été interpellés par la gendarmerie nationale au cours des derniers mois.

13 juin 2009 by Actualité judiciaire Cybercriminalité Juridique 0

Hébergeurs malhonnêtes : nouvelle fermeture (3FN)

3FN

J’ai déjà pu évoquer plusieurs cas de fermetures d’hébergeurs malhonnêtes aux États-Unis cette année, notamment le cas de la société McColo. Cette semaine, un nouveau cas avec la société « Pricewert LLC » (société basée à Belize) et une évolution dans le processus qui a conduit à la fermeture de cet hébergeur : l’action résolue des services en charge de la protection des consommateurs et de la régulation du commerce aux USA (la FTC ou Federal trade commission).

On apprend donc jeudi, dans un communiqué de la FTC, qu’elle a obtenu en justice la fermeture de cet hébergeur qui exerce ses activités sous plusieurs dénominations (3FN et APS Telecom). L’investigation menée par la FTC aurait permis de démontrer que cette société aurait des liens avec des groupes criminels impliqués dans la distribution de logiciels malins, la distribution de pornographie enfantine ou des centres de commande de botnets.

La notion d’hébergeur malhonnête est ici définie par la FTC aussi par le fait que la société protégeait ses hôtes en ne répondant pas aux requêtes officielles ou en utilisant des techniques d’évasion numérique, c’est à dire ici l’hébergement sous des adresses IP différentes des mêmes services illicites.

La société 3FN (3fn.net) semblait être un hébergeur à la fois reconnu et critiqué. Cette société aurait été créée en 1999, est installée depuis cette époque en Californie. Ainsi, la société Triple Fiber Network a pu récemment annoncer la signature d’un contrat avec LEVEL3, l’un des plus gros fournisseurs de connectivité Internet. Selon les chiffres les plus récents, ce sont plus de 7600 domaines qui étaient hébergés chez 3FN. Des serveurs au contenu clairement malhonnête : Portland APS Telecom hébergeait ainsi ultimatepayment.com ou truebillingservices.com – des serveurs de paiement utilisés pour différentes escroqueries au faux antivirus (on note au passage des liens avec EstDomains dont l’accréditation ICANN a été interrompue en septembre 2008), IC Audit & Consulting – une escroquerie typique à l’emploi d’intermédiaires financiers, etc. Les exemeples sont innombrables.

Ainsi, le NCMEC aurait relevé plus de 700 rapports d’hébergements de contenus pédopornographiques, le premier remontant à 2004. Enfin, le botnet Cutwail aurait été affecté par cette nouvelle fermeture.

Pour mener ces investigations, la FTC a reçu le soutien de spécialistes de la NASA (qui dispose d’enquêteurs spécialisés, comme beaucoup de grandes agences américaines), l’université de Birmingham dans l’Alabama (l’équipe de Gary Warner), le National center for missing and exploited children (NCMEC), l’association Shadowserver, la société Symantec et le projet Spamhaus.

Les contraintes validées par le juge sont d’interdire à la société Pricewert LLC de poursuivre ses activités, de contraindre ses fournisseurs de connectivité à Internet et aux centres d’hébergement de cesser tout service à son profit. Les biens de la société ont aussi été gelés, en attente d’une première audience sur le fond qui devrait se tenir le 15 juin prochain.

Il sera intéressant de comprendre si cette société a été créée en 1999 pour commettre de tels méfaits, si c’est une dérive de ses gestionnaires attirés par l’appât du gain ou une prise de contrôle ultérieure. En tous cas des liens ont bien été établis avec des personnes originaires de l’Europe la plus orientale (y compris a priori le gestionnaire de la société 3FN). Enfin, il faut souligner ici l’implication des autorités américaines dans cette démarche, ce qui avait manqué dans les affaires McColo et Atrivo.

6 juin 2009 by Actualité judiciaire Cybercriminalité Sécurité 3